Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Нужна помощь (http://forum.oszone.net/showthread.php?t=270020)

Мария_Голоскер@fb 15-10-2013 18:25 2235008
Нужна помощь
 
Вложений: 4
Во всех поисковиках выдает следующее:
"Мы зарегистрировали подозрительный трафик, исходящий из вашей сети.
С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот.
Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить»."
Естественно, на номер приходят сообщения о просьбе перечислить деньги на номер.

Katharsis 15-10-2013 18:42 2235019
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение систем от вредоносных программ и выполните Правила запроса о помощи.
_______________________________________________________

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\ProgramData\Mozilla\vitkmsd.exe','');
 DeleteFile('C:\ProgramData\Mozilla\vitkmsd.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\yndwalm','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Сделайте новые логи AVZ (ст скрипт 2) и RSIT

3 обновите базы Malwarebytes' Anti-Malware, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Мария_Голоскер@fb 16-10-2013 03:14 2235241
Вложений: 3
Поисковики вроде вернулись в норму, вот логи.

Sandor 16-10-2013 12:08 2235407
Сделайте дополнительно лог:
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Мария_Голоскер@fb 16-10-2013 12:59 2235466
Вложений: 1
Сделала

Sandor 16-10-2013 13:23 2235487
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Далее:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
  then
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\ProgramData\22CC6C32.exe','');
 DeleteFile('C:\ProgramData\22CC6C32.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Katharsis 16-10-2013 13:41 2235495
потом повторите лог сканирования MBAM только диска С

и смените все пароли

Мария_Голоскер@fb 16-10-2013 13:57 2235504
Вложений: 2
Всё вроде прикрепила

Katharsis 16-10-2013 19:19 2235674
этот тоже нужно удалить:

Цитата:
Registry Keys Detected: 2
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> No action taken.

Registry Values Detected: 1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Data: -> No action taken.

Files Detected: 2
C:\Program Files\Winamp\OpenCandy\OCSetupHlp.dll (PUP.Optional.OpenCandy) -> No action taken.
по логу AdwCleaner ответ вам даст Sandor

Видны следы webalta - она сильно мусорит в системе. Чтобы ее полностью удалить, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!.

Мария_Голоскер@fb 16-10-2013 20:05 2235692
Вложений: 1
Протокол:

Katharsis 16-10-2013 20:17 2235703
отметьте все найденное (ПКМ по списку - выбрать все) и нажмите кнопку "удалить". Поищите на диске папки и файлы с именем Webalta и также удалите.

подождем ответа по AdwCleaner и получите заключительные рекомендации

Sandor 17-10-2013 09:29 2235905
По AdwCleaner - порядок. Свою задачу она выполнила, удаляем:
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall.
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Если проблем больше не наблюдается, для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения.

Мария_Голоскер@fb 17-10-2013 21:14 2236242
Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 17.10.2013 21:06:50
Run directory: C:\Users\Merlin\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 6.0
__________________________________________________

Windows Vista (6.0.6001) Service Pack 1 (x86) HomePremium Lang: Russian(0419)
Дата установки ОС: 02.04.2008 16:38:04
Статус лицензии: Windows(TM) Vista, HomePremium edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [328 Гб] Занято: [309.7 Гб] Свободно: [18.3 Гб]
Браузер по умолчанию: C:\Program Files\Opera\Opera.exe
-------------Windows------------------------------
Service Pack 1 Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 7.0.6001.18000 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-10-15 09:28:54
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java 7 Update 40 v.7.0.400
Java(TM) SE Runtime Environment 6 Update 1 v.1.6.0.10
Java Auto Updater v.2.1.9.8
-------------AppleProduction----------------------
Bonjour v.2.0.4.0 Внимание! Скачать обновления
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.9.900.117
Adobe Flash Player 11 Plugin v.11.9.900.117
Adobe Reader 8.1.0 v.8.1.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.30.0.1599.69
Mozilla Firefox 24.0 (x86 ru) v.24.0
Opera 11.51 v.11.51.1087 Внимание! Скачать обновления
^Будет скачена последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^
Opera 12.15 v.12.15.1748 Внимание! Скачать обновления
^Будет скачена последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^
Opera 12.16 v.12.16.1860
Opera Stable 16.0.1196.80 v.16.0.1196.80 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.16.1860.0
-------------EndLog-------------------------------


Проблем больше нет, спасибо большое. Обновления установлю.

iskander-k 19-10-2013 00:02 2236931
Желательно обновить указанное ПО, по приведенным ссылкам.

Мария_Голоскер@fb 20-10-2013 00:03 2237574
Всё, что было нужно, обновила.


Время: 20:14.

Время: 20:14.
© OSzone.net 2001-